El protocolo de préstamos Bonzo Lend, que opera sobre la red Hedera, sufrió el robo de unos 9,05 millones de dólares luego de que un atacante aprovechara una falla en la verificación de un contrato de oráculo de terceros. El incidente borró alrededor del 77% del valor total bloqueado en la plataforma y sacudió al conjunto del ecosistema de finanzas descentralizadas de Hedera.
Según el informe preliminar del incidente publicado por el propio protocolo, la vulnerabilidad no estaba en el código de Bonzo sino en un contrato del proveedor de oráculos Supra, la infraestructura encargada de alimentar al protocolo con datos de precios externos.
Cómo funcionó el ataque
Los oráculos son un componente crítico en DeFi: son los servicios que conectan a los contratos inteligentes con información del mundo real, como el precio de un activo. Cuando ese flujo de datos puede manipularse, un atacante logra engañar al protocolo para que valore mal las garantías y libere fondos que no le corresponden.
En este caso, el atacante explotó un fallo de verificación en el contrato del oráculo de Supra, lo que le permitió drenar los activos depositados en Bonzo Lend. El monto sustraído, cercano a los 9 millones de dólares, representó la mayor parte de la liquidez que los usuarios habían confiado al servicio de préstamos.
Golpe a la liquidez de Hedera
La caída del valor bloqueado en Bonzo tuvo un efecto directo sobre las métricas de DeFi en Hedera, una red que compite por atraer capital frente a cadenas más consolidadas. Los datos de plataformas de seguimiento como DefiLlama reflejaron la contracción tras el ataque, un recordatorio de lo concentrada que puede estar la liquidez en ecosistemas emergentes.
Cuando un solo protocolo concentra buena parte del capital de una cadena, un exploit de este tamaño repercute más allá de sus propios usuarios y afecta la percepción de riesgo de toda la red.
Los oráculos, un punto débil recurrente
El episodio se suma a una larga lista de ataques en DeFi vinculados a la manipulación o al mal funcionamiento de oráculos. Aunque los protocolos suelen auditar su propio código, la dependencia de proveedores externos introduce una superficie de ataque difícil de controlar: la seguridad del conjunto queda atada al eslabón más frágil de la cadena de datos.
Bonzo señaló que trabaja junto con el proveedor afectado para esclarecer el origen exacto de la falla y evaluar posibles vías de compensación para los usuarios perjudicados. Hasta el momento no se ha detallado si los fondos podrán recuperarse ni la identidad del atacante.
Para quienes participan en protocolos de préstamos, el caso vuelve a poner sobre la mesa una pregunta incómoda: gran parte del riesgo en DeFi no vive en el contrato principal, sino en las piezas de infraestructura que casi nadie revisa hasta que algo se rompe.

